Делегирование администрирования с помощью объектов подразделений

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Подразделения можно использовать для делегирования администрирования объектов, таких как пользователи или компьютеры, в подразделении назначенным отдельным лицам или группам. Чтобы делегировать администрирование с помощью подразделения, поместите человека или группу, к которой вы делегируете права администратора в группу, поместите набор объектов, которыми нужно управлять в подразделение, а затем делегировать административные задачи для подразделения в эту группу.

домен Active Directory службы (AD DS) позволяют управлять административными задачами, которые можно делегировать на очень подробном уровне. Например, можно назначить одну группу, чтобы иметь полный контроль над всеми объектами в подразделении; назначьте другую группу только для создания, удаления и управления учетными записями пользователей в подразделении; а затем назначьте третью группу право только для сброса паролей учетных записей пользователей. Эти разрешения можно наследовать таким образом, чтобы они применялись к любым подразделениям, помещаемым в поддерев исходного подразделения.

Подразделения и контейнеры по умолчанию создаются во время установки AD DS и управляются администраторами служб. Лучше всего, если администраторы служб продолжают контролировать эти контейнеры. Если необходимо делегировать управление объектами в каталоге, создайте дополнительные подразделения и поместите объекты в эти подразделения. Делегировать управление этими подразделениями соответствующим администраторам данных. Это позволяет делегировать контроль над объектами в каталоге, не изменяя элемент управления по умолчанию, предоставленный администраторам службы.

Владелец леса определяет уровень полномочий, делегированный владельцу подразделения. Это может быть от возможности создания и управления объектами в подразделении до разрешения только для управления одним атрибутом одного типа объекта в подразделении. Предоставление пользователю возможности создавать объект в подразделении неявно предоставляет пользователю возможность управлять любым атрибутом любого создаваемого пользователем объекта. Кроме того, если созданный объект является контейнером, пользователь неявно может создавать и управлять любыми объектами, помещенными в контейнер.

В этом разделе

• Делегирование администрирования подразделений и контейнеров по умолчанию

• Делегирование администрирования подразделений учетных записей и ресурсов